The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Grsecurity возможно нарушает лицензию GPL в своих попытках остановить перенос кода в ядро Linux

10.07.2017 08:30

Брюс Перенс (Bruce Perens), один из авторов определения Open Source, соучредитель организации OSI (Open Source Initiative), создатель пакета BusyBox и один из первых лидеров проекта Debian (в 1996 году сменил на посту Яна Мердока), предоставил свою экспертную оценку действиям проекта Grsecurity, пытающегося противостоять переносу своих наработок в основное ядро Linux. Напомним, что в апреле проект Grsecurity прекратил публичное распространение своих патчей из-за несогласия с деятельностью проекта KSPP (Kernel Self Protection Project), занимающегося переносом в основное ядро Linux методов защиты, развиваемых Grsecurity.

Мотивы борьбы с переносом Grsecurity в состав ядра достаточно разнообразные, от обхода в финансировании (вместо основного проекта Linux Foundation и Core Infrastructure Initiative выделили грант KSPP) и копирования решений без упоминания PaX/Grsecurity до нежелания загонять себя в жесткие рамки (Grsecurity достаточно вольно рассматривает вопрос соблюдения совместимости и требований к компонентам ядра, ставя на первое место обеспечение защиты), нежелания разбивать продукт на части (Grsecurity рассматривается как взаимосвязанное единое целое) и репутационных рисков (из-за некорректного переноса исправлений, введения ограничений для совместимости и переработок для соблюдения требований ядра реализация перенесённых в основное ядро технологий Grsecurity содержит ошибки и проблемы с безопасностью, которых нет в оригинальных патчах, что приводит к созданию половинчатых решений и создаёт лишь видимость повышения безопасности).

Так как для подписчиков патчи продолжают публиковаться под лицензией GPLv2, не исключено, что для поддержания реализации технологий Grsecurity в основном ядре и оперативного устранения ошибок, разработчики KSPP отслеживают текущее состояние патчей Grsecurity. Из-за того, что публичный доступ закрыт, источником утечки кода могут стать платные подписчики Grsecurity, которые имеют доступ к коду - так как код патчей под GPLv2 никто не запрещает им распространять эти патчи. Дошло до того, что представители Grsecurity стали угрожать судебным иском из-за нарушений требований атрибуции (упоминание автора при копировании кода).

В ходе обсуждений был поднят вопрос возможного нарушения прав разработчиков ядра Linux и лицензии GPLv2 из-за наличия дополнительных условий, дающих возможность разорвать договор в случае если клиент передал патчи третьим лицам. Брюс Перенс предупредил, что наложение подобных условий являются явным нарушением лицензии GPLv2, которая не допускает наложение дополнительных ограничений на распространение кода. Так как патчи Grsecurity являются продуктом, производным от ядра Linux, они обязаны поставляться под GPLv2 или совместимой лицензией, не внося дополнительных ограничений.

Введение ограничений на распространение патчей делает невозможным их применение к ядру Linux, нарушает авторские права разработчиков ядра и приводит к расторжению лицензии GPLv2 и, как следствие, прекращению всех прав лицензиата, предоставленных ему данной лицензией. Компаниям рекомендовано избегать применения патчей Grsecurity, так как они нарушают условия распространения кода для ядра Linux и создают риск разрыва лицензионного соглашения на ядро. В свою очередь, Линус Торвальдс в свойственной ему манере посоветовал не связываться с Grsecurity и раскритиковал их подход к разработке, который оправдывает любые нарушения прежнего поведения целесообразностью повышения безопасности.

Дополнение: Сторонники Grsecurity считают, что нарушения лицензии GPL нет, так как ограничение действует на уровне контракта с клиентом, а не общих условий распространения патчей. Определены условия досрочного прекращения действия контракта, что приведёт к закрытию клиенту доступа к будущим выпускам патчей, но клиент даже после разрыва контракта может продолжать распространение уже полученных патчей без ограничений, а также их могут распространять другие пользователи, в руки которых патчи попали от клиентов Grsecurity.

  1. Главная ссылка к новости (http://perens.com/blog/2017/06...)
  2. OpenNews: Grsecurity прекращает бесплатное распространение своих патчей
  3. OpenNews: Проект grsecurity опубликовал реализацию механизма защиты RAP для ядра Linux
  4. OpenNews: Проект grsecurity представил защиту от атак с использованием заимствования кусков кода
  5. OpenNews: Проект grsecurity ограничивает доступ к стабильным веткам
  6. OpenNews: Патентное соглашение Red Hat может навредить всему сообществу разработчиков открытого ПО
Лицензия: CC-BY
Тип: Тема для размышления
Короткая ссылка: https://opennet.ru/46828-grsecurity
Ключевые слова: grsecurity, gpl, license
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (146) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.2, Аноним (-), 09:50, 10/07/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –17 +/
    >Из-за того, что публичный доступ закрыт утечка кода происходит через платных подписчиков Grsecurity, которые имеют доступ к коду. Так как код патчей под GPLv2 никто не запрещает им распространять эти патчи.

    Как же абсурдно продавать свободное ПО. Конечно, в теории можно сделать сервис какой-то и продавать его услуги, но какие в данном случае услуги могут быть? Лучше бы тогда уж финансировали нормально, а из-за этого обиды. И какие-то зашуганные эти разработчики, может тут есть что-то связанное со спецслужбами?

     
     
  • 2.27, Аноним (-), 12:45, 10/07/2017 [^] [^^] [^^^] [ответить]  
  • +8 +/
    Не абсурдно продовать бинарные сборки, этого GPL не запрещает, абсурдно продавать исходники, которые находятся под GPL, к тому же, являющиеся частью ядра.
     
     
  • 3.71, Аноним (-), 22:29, 10/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Исходники продавать тоже можно, GPL этого не запрещает. Проблема при продаже исходников и бинарников с GPL одна и та же, - исходники можно отдавать третьим лицам бесплатно после покупки. Поэтому создают препятствия с помощью зарегистрированных торговых марок так, чтобы везде в коде использовалась торговая марка. Это усложняет вливание в основной продукт, но ещё приводит к вливанию без торговой марки, что будет невыгодно для того, кто все эти препятствия сделал. Во-первых, они лишаются пиара своей торговой марки, а во-вторых, - усложняет себе будущую синхронизацию с исходным продуктом (два немного отличающихся куска кода с разными названиями функций и переменных - ад при слияниях).
     
     
  • 4.107, Аноним (-), 12:46, 11/07/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Иходники должны быть полностью возвращены в проект и открыты для всех желающих. Только в случае, если писалось что-то своё, можно не отдавать, но оно должно быть под другой лицензией, совместимой с GPL.
     
     
  • 5.114, Andrey Mitrofanov (?), 13:57, 11/07/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Иходники должны быть полностью возвращены в проект и открыты для всех желающих.

    GPL читал? Что не понятно, спрашивай.

     
     
  • 6.139, Аноним (-), 22:08, 11/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Вряд ли этот человек пойдёт читать GPL когда-нибудь вообще. Я читал, т. к. мне приходится с этим работать и в комментариях охотно делюсь своими знаниями с другими людьми. Просьба, чем сходу отписывать отсылки с намёками, просто напишите объяснение, в чём человек неправ. Больше пользы принесёте.
     
     
  • 7.142, Andrey Mitrofanov (?), 22:43, 11/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    #>>> Иходники должны быть полностью [B]возвращены[/B] в проект и открыты [B]для всех[/B] желающих.
    > Вряд ли этот человек пойдёт читать GPL когда-нибудь вообще. Я читал, т.
    > к. мне приходится с этим работать и в комментариях охотно делюсь
    > своими знаниями с другими людьми. Просьба, чем сходу отписывать отсылки с
    > намёками, просто напишите объяснение, в чём человек неправ. Больше пользы принесёте.

    Я писал, [U]бесполезно[/U]. Они всё равно _не_читают_ ни Столмана, ни [одну из] GPL.

    В GPL <<Нет никакого "всем".>>
      https://www.opennet.ru/openforum/vsluhforumID3/104784.html#60

    <<Никакого "обязывает возвращать" в GPL нет.>>
      https://www.opennet.ru/openforum/vsluhforumID3/93119.html#105

     
     
  • 8.159, Аноним (-), 21:58, 12/07/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Никакого обязывает возвращать в GPL нет постойте Я точно помню скулеж со... текст свёрнут, показать
     
     
  • 9.164, Andrey Mitrofanov (?), 09:51, 13/07/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да Это был именно случай того самого _не_ обязывает Ваши радужные червоточинны... текст свёрнут, показать
     
  • 5.138, Аноним (-), 22:00, 11/07/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Я таки расшифрую правильный, но не до конца расписанный, комментарий выше, - GPL подразумевает, что при распространении вместе с бинарниками должен быть предоставлен доступный способ получений исходников, из которых бинарники были собраны. Что с этими исходниками получатель будет делать - его личное дело. В оригинальный проект никто ничего не обязан возвращать.
     
  • 2.42, Ergil (ok), 14:00, 10/07/2017 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > Как же абсурдно продавать свободное ПО.

    Это совершенно не абсурдно и является нормальной практикой. Продавать бинарные сборки совершенно адекватно и предоставлять исходники тем, кто их купил(как того требует GNU GPLv2). А вот уже купившие и легально получившие код могут спокойно его выложить. GNU GPLv2 не обязывает авторов выкладывать код в свободный доступ, а лишь обязывает представить доступ к исходникам тем, кто имеет доступ к бинарникам. При этом в лицензии не сказано в каком виде должны быть предоставлены исходники, так что их можно выдавать хоть на глинянных табличках, а не ссылками для скачки.

     
     
  • 3.68, anonymous (??), 20:59, 10/07/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > ссылками для скачки

    А при чём тут соревнование на ипподроме и какая на него может быть ссылка?

     
  • 3.72, Аноним (-), 22:53, 10/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >При этом в лицензии не сказано в каком виде должны быть предоставлены исходники, так что их можно выдавать хоть на глинянных табличках, а не ссылками для скачки.

    В 4й версии пофиксят.

     
     
  • 4.73, Укпшд (?), 22:59, 10/07/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > В 4й версии пофиксят.

    А никак не пофиксишь. Лицензия должна быть рассчитана и на тех у кого нет интернета, а следовательно выдавать ссылку на исходники прописывать нельзя.

     
     
  • 5.172, овопооч (?), 10:57, 16/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    будут выдавать блюрей-диск/записывать на флешку, делов то
     
  • 3.78, Аноним84701 (ok), 01:40, 11/07/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >  При этом в лицензии не сказано в каком
    > виде должны быть предоставлены исходники, так что их можно выдавать хоть
    > на глинянных табличках, а не ссылками для скачки.

    Сказано:
    > a) Accompany it with the complete corresponding [I]machine-readable[/I] source code,
    > which must be distributed under the terms of Sections 1 and 2 above on a [I]medium customarily
    > used for software interchange[/I]; or,

    и глиняные таблички не прокатят.

     
     
  • 4.169, anonymous (??), 20:12, 15/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > и глиняные таблички не прокатят.

    Да запросто прокатят.

    [quote]
    Сфотографируйте любой печатный текст камерой смартфона или планшета – и получите его в электронном виде благодаря приложению ABBYY TextGrabber + Translator для Android.
    [/quote]
    Отсюда: https://www.abbyy.com/ru-ru/textgrabber-translator/android/

    Кстати, это мысль - создать устройство, которое анализирует белковые молекулы в пробирке и
    переводит это в текст.
    Исходники распространять в молекулах белка бесплатно, устройство продавать.

     
     
  • 5.170, www2 (ok), 07:31, 16/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Да запросто прокатят.

    Они не machine-readable. Кроме того, там есть примечание для таких хитрованов как вы:
    medium customarily used for software interchange

    Глинянные таблички и молекулы ДНК не часто используются для обмена программным обеспечением. Я наверное не ошибусь, если скажу что не было в истории таких случаев.

    Сейчас даже перфолента или дискеты не прокатят. Общепринято меняться через веб-сайт, флешки, карты памяти, компакт-диски. Иногда через жёсткие диски обмениваются.

     
  • 2.46, Anonplus (?), 14:40, 10/07/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Скажите это разработчикам PartedMagic или ethOS. Вполне успешно продают. Естественно, никто не запрещает купившим выложить купленное в торренты, что регулярно и происходит.
     
     
  • 3.61, Аноним (-), 16:52, 10/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    За что им отдельное спасибо, кстати :) Полюбил я как-то Parted Magic и все тут.
     
  • 2.83, АНоним (?), 09:14, 11/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Фишка продажи СПО в том, что всем на шару выкатывается как бы готовый красивый продукт, потом оказывается, что он никуда не годен в реальных применениях и тк обычно баговит... и тут тебе приходится обращаться к поставщику, а там платный саппорт. профит
    Могли бы делать кривые патчи, они бы не работали, пожимали бы плечами УМВСР, покпайте у нас и т д
     
     
  • 3.105, s (?), 12:36, 11/07/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >и тут тебе приходится обращаться к поставщику, а там платный саппорт

    И чем это отличается от не СПО (кроме того, что СПО может пофиксить твой штат программистов)?

     
  • 3.122, . (?), 18:15, 11/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Могли бы делать кривые патчи, они бы не работали

    к великому сожалению grsec'овцев - за них это делает KSPP.

    итого - пилежка грантов, профанация методик (которые хороши в комплексе, а не поштучно и с ошибками) и "не покупайте, вот же, почти то же самое, на халяву!" Ну, зато GPL-фанаты счастливы, "ждут ебилдов".

     

  • 1.3, Аноним (-), 10:07, 10/07/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +16 +/
    > В свою очередь, Линус Торвальдс в свойственной ему манере эмоционально посоветовал не связываться с Grsecurity и раскритиковал качество патчей и их подход к разработке, который оправдывает любые нарушения прежнего поведения целесообразностью повышения безопасности.

    Не совсем так. Во-первых, по ссылке нет никаких особых эмоций, во-вторых, смысл сообщения, скорее, переводится так: "Не связывайтесь с Grsecurity. Их подход всегда был таким: "неважно, если мы что-то сломаем, мы просто оправдаем это тем, что делаем это ради безопасности." Курам насмех, клоуны. Когда они начали заявлять, что люди используют их, я перестал быть корректным относительно их барахла. Их патчи - абсолютный мусор."

     
     
  • 2.4, ыы (?), 10:10, 10/07/2017 [^] [^^] [^^^] [ответить]  
  • –11 +/
    Если их патчи- абсолютный мусор, то зачем он вообще вякает в их сторону? Откажитесь от их патчей и все. закройте проект KSPP. зачем начали проект и выделили под проект деньги?
    Але гараж?
     
     
  • 3.6, Аноним (-), 10:17, 10/07/2017 [^] [^^] [^^^] [ответить]  
  • +19 +/
    Внезапно не Торвальдс решил начать проект и выделять им деньги. Понятно?
     
     
  • 4.13, ыы (?), 10:24, 10/07/2017 [^] [^^] [^^^] [ответить]  
  • –4 +/
    > Внезапно не Торвальдс решил начать проект и выделять им деньги. Понятно?

    Ну тогда ситуация в двойне непонятно- если он такой умный а патчи- такой мусор - то наверное его ядро такое защищенное что эти патчи ванильному ядру не нужны? правда ведь? да? Че он тогда вообще выступает?

     
     
  • 5.24, Аноним (-), 12:13, 10/07/2017 [^] [^^] [^^^] [ответить]  
  • +5 +/
    > Ну тогда ситуация в двойне непонятно- если он такой умный а патчи-
    > такой мусор - то наверное его ядро такое защищенное что эти
    > патчи ванильному ядру не нужны? правда ведь? да? Че он тогда
    > вообще выступает?

    Вот про это он и выступает

    > Не связывайтесь с Grsecurity

    И он совершенно прав.

     
  • 5.64, _ (??), 18:27, 10/07/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    >Ну тогда ситуация в двойне непонятно-

    Качают лодку.
    Всё как обычно, там где появляется чиновник (фсф и иже с ними) - начинается де**мо: попил, интриги, травля, награждение непричастных, наказание невиновных.
    То ли ещё будет!

     
  • 3.10, Аноним (-), 10:23, 10/07/2017 [^] [^^] [^^^] [ответить]  
  • +11 +/
    Вы когда-нибудь программировали?

    Я к тому, что допустим, у вас есть огромный проект, и некто вызывается улучшить его безопасность. Выясняется, что этому кому-то работоспособность проекта вообще не важна. Поломалось - так поломалось. Как вы назовете такой подход и качество таких патчей? Каким логичным способом можно решить эту проблему?

     
     
  • 4.14, ыы (?), 10:28, 10/07/2017 [^] [^^] [^^^] [ответить]  
  • –16 +/
    Это проблема тех кто ставит эти патчи Это не повод ХАМИТЬ тем кто делает нужную... большой текст свёрнут, показать
     
     
  • 5.17, Аноним (-), 10:40, 10/07/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Для понимания проблемы - Вам стоит найти в сети (на Хабре было
    > когдато) перевод интервью с Джобсом, с его аргументами почему в айфонах
    > нет флэша. Джобс, в отличие от Торвальдса во первых не хамил
    > разработчикам, вол вторых - умел решать проблемы.

    Зачем вообще Хабр, если "Thoughts on Flash" легко отыскать на языке оригинала? Оно валяется везде в сети. Это во-первых. А во-вторых, причем тут это письмо? Тем, что можно посмотреть на то, как покойный глава Эппл мог сказать, что продукт - дерьмо, но политкорректно? Джобс тогда этим письмом по сути закончил жизнь флэша, за что, кстати, ему большое спасибо. Но суть-то одна.

     
     
  • 6.74, Аноним (-), 23:24, 10/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Вы меня заинтересовали. Я нагуглил это и прочитал. Сплошные двойные стандарты и "негров линчуют". Тьфу.
     
  • 5.23, Аноним (-), 12:12, 10/07/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Это проблема тех кто ставит эти патчи. Это не повод ХАМИТЬ тем кто делает нужную и важную работу по допиливанию до юзабельного состояния куска мусора который гордо именуется ванильным ядром.

    Ага. Но при чем здесь grsec? Они вроде строго обратным занимаются - берут юзабельное ванильное ядро и превращают его в кусок мусора.

     
     
     
    Часть нити удалена модератором

  • 7.37, feudor (ok), 13:30, 10/07/2017 [^] [^^] [^^^] [ответить]  
  • –5 +/
    Где в тексте новости Торвальдс называет их патчи мусором? Там такого утверждения нет а почему ему приписывают в коментах это утверждение?
     
     
  • 8.40, Аноним (-), 13:55, 10/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Труъ ... текст свёрнут, показать
     
  • 8.43, Аноним (-), 14:11, 10/07/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    По ссылкам сходите ... текст свёрнут, показать
     
  • 8.44, M i M (?), 14:19, 10/07/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    первоисточник не читай дурацкие вопросы задавай ... текст свёрнут, показать
     
  • 7.41, Ан (??), 13:56, 10/07/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    По-моему с вами что-то не то. Вы не один из Grsecurity?
    Как я понял из всей истории раньше они пытались пропихнуть свои патчи, но внезапно их не принимали видно как раз по причине что они не заботились о работоспособности. Однако есть люди которые хотят лицезреть некоторые наработки в ядре они их и адаптируют и перепиливают под ядро что бы оно попало в mainline. А Grsecurity внезапно захотели бабла. А то как это они тут на_х_ерачили патчей на ядро которое под лицензией GPL, а их ещё и распространяют без их ведома. И кому какая разница что те кому это интересно спокойно могут это делать ибо GPL и нечего возникать.
    Или вы предлагаете для Grsecurity исключения в соблюдении лицензии делать?
     
  • 5.33, Я. Р. Ош (?), 13:04, 10/07/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > тем кто делает нужную и важную работу по допиливанию до юзабельного состояния куска мусора который гордо именуется ванильным ядром

    ололо, кернел-онолитеги в тредик спустились с Олимпа. навозного

     
  • 5.48, Michael Shigorin (ok), 15:34, 10/07/2017 [^] [^^] [^^^] [ответить]  
  • +5 +/
    > Джобс, в отличие от Торвальдса

    ...мёртв.

     
     
  • 6.141, гость (?), 22:21, 11/07/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> Джобс, в отличие от Торвальдса
    > ...мёртв.

    А что ты сделал для русского хип-хопа?

     
  • 2.12, Михаил (??), 10:23, 10/07/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Никаких особых эмоций?

    > Не связывайтесь с Grsecurity
    > Их подход всегда был таким
    > Курам насмех
    > клоуны
    > я перестал быть корректным относительно их барахла
    > Их патчи - абсолютный мусор

    Это просто буря эмоций.

     
     
  • 3.18, Аноним (-), 10:42, 10/07/2017 [^] [^^] [^^^] [ответить]  
  • +5 +/
    > Никаких особых эмоций?
    >> Не связывайтесь с Grsecurity
    >> Их подход всегда был таким
    >> Курам насмех
    >> клоуны
    >> я перестал быть корректным относительно их барахла
    >> Их патчи - абсолютный мусор
    > Это просто буря эмоций.

    Вы среди каких-то нордических личностей работаете?

     
     
  • 4.79, Аноним84701 (ok), 01:45, 11/07/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Вы среди каких-то нордических личностей работаете?

    Гм, Линус вообще-то довольно горячий финский парень.


     
  • 3.70, Ordu (ok), 22:05, 10/07/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Это просто буря эмоций.

    Нет, это Торвальдс. Когда он говорит эмоционально, это выглядит несколько иначе. В данном случае он вполне спокоен.

     
  • 2.84, АНоним (?), 09:16, 11/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Аж отдельный проект замутили чтобы тащить код из сабжевого проекта и не помогать ему. Ну не иди0ты ли? Кто тут паразит то?

     

  • 1.5, Ващенаглухо (ok), 10:15, 10/07/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –5 +/
    >Their patches are pure garbage.

    Ну да конечно, только вот их патчи на 99.9% защищают от всех експлойтов.
    Я уж лучше такие патчи буду юзать, чем дырявое ванильное ядро.
    Grsecurity делают крайне нужную работу, жаль только, что они решили со всеми посраться.

     
     
  • 2.7, Аноним (-), 10:20, 10/07/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Используй винду - по твоей логике их закрытое ядро должно быть абсолютно безопасным. Если кто-то делает хорошее дело, но при этом нарушает GPL, то это портит всё дело
     
     
  • 3.20, Ващенаглухо (ok), 11:17, 10/07/2017 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Какую то ерунду пишешь, при чем тут закрытое ядро и винда? Мы тут про патчи для ядра линукс.
    Для тех у кого есть доступ к этому ядру(патчам) есть и его исходники.
    Нарушают GPL, да печально это, но им тоже кушать хочется.
     
     
  • 4.21, SomeOne (?), 11:40, 10/07/2017 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Нарушение лицензии это нисколько не оправдывает.
     
  • 4.30, Аноним (-), 12:51, 10/07/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Нарушают GPL, да печально это, но им тоже кушать хочется.

    Они в FOSS состоят? Если нет, то они ССЗБ, потому что это получается они на добровольных началах делают. А GPL прямо запрещает закрывать код.

     
     
  • 5.31, Аноним (-), 12:55, 10/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    s/FOSS/FSF/g

    [i]самофикс[/i]


     
  • 2.36, Крутой аноним (?), 13:15, 10/07/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >>Their patches are pure garbage.
    > Ну да конечно, только вот их патчи на 99.9% защищают от всех
    > експлойтов.
    > Я уж лучше такие патчи буду юзать, чем дырявое ванильное ядро.
    > Grsecurity делают крайне нужную работу, жаль только, что они решили со всеми
    > посраться.

    Вы что не помните их эпический фейл, когда после их патча
    ядро падало в kernel panic после открытия файла?

    Нафига вам защита от эксплойтов если ваше ядро начнет падать от создания
    процессов и открытия файлов, соскучились по синему экрану смерти?

     
     
  • 3.62, Аноним (-), 17:11, 10/07/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это был опасный файл!
     
  • 3.69, Аноним (-), 21:51, 10/07/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    А что по вашему доказывает эта одна ошибка ещё и в экспериментальной версии небось?
     
  • 2.166, freehck (ok), 12:09, 14/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну да конечно, только вот их патчи на 99.9% защищают от всех експлойтов.

    Истина. Они защищают от 99% эксплоитов. А ещё с их патчами огромное число программ просто откажутся запускаться. Запустите JVM, запустите Racket. Не получается? А Emacs запустится ли, как думаете? Нет?

    Ну и что с такой системой делать?

     
     
  • 3.167, добрый (?), 00:04, 15/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Эти программы точно так же не запустятся, если посредством SELinux им запретить ... большой текст свёрнут, показать
     
     
  • 4.173, freehck (ok), 23:06, 19/07/2017 [^] [^^] [^^^] [ответить]  
  • +/

    >> Ну и что с такой системой делать?
    > Читать документацию и работать без проблем? :)

    А, ну... Это-то, кончно, да, за одним нюансом: в пакет расширенные атрибуты не завернёшь.

     
     
  • 5.174, добрый (?), 16:34, 21/07/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > А, ну... Это-то, кончно, да, за одним нюансом: в пакет расширенные атрибуты
    > не завернёшь.

    google://paxctld

     

  • 1.15, Аноним (-), 10:29, 10/07/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > представители Grsecurity стали угрожать судебным иском, указывая на нарушение их авторских прав

    Вообще-то по ссылке cpач из-за неправильной атрибуции, что нарушает и GPL в том числе. Хотя проблема смахивает на высосанную из пальца.

     
     
  • 2.86, Андрей (??), 10:03, 11/07/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Во-во. Они берут код из Линукса, и их обязывают соблюдать лицензию. А когда берут их код, изменяют и вносят назад в Линукс, то и вот этих тоже надо обязать добавлять Copyright с именами авторов оригинальных патчей. Пусть и пришлось попричёсывать код. Ведь Grsecurity тоже ведь пришлось покопаться да поисправлять баги.
     
     
  • 3.93, 332244234 (?), 10:51, 11/07/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    так они ведь не нарушали лицензию до этого момента. зачем вообще брать что то у  grsecurity, пытаться портировать в ядро и ныть что все поламалось, они как раз и просят ничего в ядро не переносить
     

  • 1.16, Аноним (-), 10:39, 10/07/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Меньше кода-меньше дырок в безопасности.

    Вот хороший принцип, поэтому самосборное ядро с выпиливанием всего кроме нужного, или ядро очищеное от несвободных компонентов хороший выбор.

     
     
  • 2.19, Аноним (-), 10:43, 10/07/2017 [^] [^^] [^^^] [ответить]  
  • +8 +/
    > Меньше кода-меньше дырок в безопасности.
    > Вот хороший принцип, поэтому самосборное ядро с выпиливанием всего кроме нужного, или
    > ядро очищеное от несвободных компонентов хороший выбор.

    Нет кода - нет опасности. Расходимся.

     
  • 2.22, Аноним (-), 11:46, 10/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Меньше кода-меньше дырок в безопасности.
    > Вот хороший принцип, поэтому самосборное ядро с выпиливанием всего кроме нужного, или
    > ядро очищеное от несвободных компонентов хороший выбор.

    Это верно, но только при условии одинакового уровня качества кода и при использовании в одних и тех же условиях. Причём качество должно определяться как мера одного-единственного показателя: если показателей хотя бы два (независимых), то ситуация становится не такой однозначной.

     
  • 2.32, Аноним (-), 13:03, 10/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Меньше кода-меньше дырок в безопасности.

    Фигня, даже в 200 строковой программе может оказаться дофига уязвимостей. А ядро насчитывает миллионы строк.

     

  • 1.35, solardiz (ok), 13:10, 10/07/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Из текста новости: "разработчики KSPP отслеживают текущее состояние патчей Grsecurity, которые продолжают публиковаться под лицензией GPLv2. Из-за того, что публичный доступ закрыт, утечка кода происходит через платных подписчиков Grsecurity, которые имеют доступ к коду."

    Откуда такая информация? Если есть источник, добавьте пожалуйста ссылку на него. Пока что считаю что это лишь неподтвержденное предположение (о том что "разработчики KSPP" уже используют "утечки", а не ограничиваются публично доступными старыми версиями grsecurity и независимыми от grsecurity разработками).

     
     
  • 2.63, Maxim Chirkov (ok), 17:56, 10/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Действительно, это было только в сообщениях от Spengler, от KSPP подтверждения нет, только заявления от представителей Grsecurity. Поправил на "По мнению участников проекта Grsecurity, неподтверждённому представителями KSPP".

    Вообще я мог и что-то ещё напутать или упустить, так как писал по памяти на основе общих впечатлений от весенних дискуссий, которые читал весьма отрывочно.

     
     
  • 3.67, solardiz (ok), 20:52, 10/07/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > только заявления от представителей Grsecurity

    Можно на эти заявления ссылку? А то что-то я и такого не помню. Мог упустить, конечно, так как тоже читал отрывочно. Спасибо!

     
     
  • 4.77, Maxim Chirkov (ok), 23:55, 10/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Судя по всему я своеобразно интерпретировал http://seclists.org/oss-sec/2017/q2/586 поняв упоминание testing как отслеживание изменений в новой ветке. Точно я уже не помню где читал, там море препирательств в рассылках, но памяти осел пример необдуманного переноса исправлений. Вполне может быть, что я что-то не так понял или домыслил. Завтра попытаюсь ещё поискать где я мог это видеть, а пока убрал утверждение из текста, тем более, что в KSPP например в http://www.openwall.com/lists/kernel-hardening/2017/06/20/34 явно пишут
    "last public patch of grsecurity/PaX".
     

  • 1.39, Сергей (??), 13:49, 10/07/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Я вот только не могу понять, почему "патчи Grsecurity являются продуктом, производным от ядра Linux", они же не поставляют ядро, ядро компилит пользователь...
     
     
  • 2.50, Michael Shigorin (ok), 15:37, 10/07/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > не могу понять, почему "патчи Grsecurity являются продуктом, производным от ядра Linux"

    Патчи на существующее ядро, а не в вакууме.

     
     
  • 3.57, Аноним (-), 16:22, 10/07/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> не могу понять, почему "патчи Grsecurity являются продуктом, производным от ядра Linux"
    > Патчи на существующее ядро, а не в вакууме.

    да что вы прям так.. Это же отдельный продукт по мнению grsec и они никому ничем не обязаны.

     
     
  • 4.98, Аноним (-), 11:21, 11/07/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Он всё никак не поймёт что если патчи (исходники) идут отдельно от ядра, то они к ядру никак не привязаны и не обязаны быть под той же лицензией.
     
     
  • 5.137, Аноним (-), 21:51, 11/07/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    но наложение этих самых буковок на ядро рождает произвольный продукт который связан лицензией на ядро.
    И это самое производное можно и нужно распространять, и какой Gr Sec в этом помешать не может и не имеет право.
     
     
  • 6.140, добрый (?), 22:08, 11/07/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > в этом помешать не может и не имеет право.

    И не пытается. :)

     

  • 1.47, Клоака (?), 15:10, 10/07/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Похоже будет большой скандал.
    Шапки полетят
     
     
  • 2.49, Andrey Mitrofanov (?), 15:37, 10/07/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Похоже будет большой скандал.
    > Шапки полетят

    Красные, фетровые?

     
     
  • 3.52, Michael Shigorin (ok), 15:45, 10/07/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    >> Шапки полетят
    > Красные, фетровые?

    "а также добавили [B]дополнительное условие, запрещающее клиентам передавать патчи третьим лицам под угрозой разрыва договора[/B]. Брюс Перенс предупредил, что данный шаг является явным нарушением лицензии GPLv2, которая не допускает наложение дополнительных условий на распространение кода" и впрямь что-то этакое очень напоминает.

     
     
  • 4.53, Аноним (-), 15:59, 10/07/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    >>> Шапки полетят
    >> Красные, фетровые?
    > "а также добавили [B]дополнительное условие, запрещающее клиентам передавать патчи третьим
    > лицам под угрозой разрыва договора[/B]. Брюс Перенс предупредил, что данный шаг
    > является явным нарушением лицензии GPLv2, которая не допускает наложение дополнительных
    > условий на распространение кода" и впрямь что-то этакое очень напоминает.

    А лицензию поменять, авторы смогут?

     
     
  • 5.55, Andrey Mitrofanov (?), 16:02, 10/07/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >>>> Шапки полетят
    >>> Красные, фетровые?
    >> "а также добавили [B]дополнительное условие, запрещающее клиентам передавать патчи третьим
    >> лицам под угрозой разрыва договора[/B]. Брюс Перенс предупредил, что данный шаг
    >> является явным нарушением лицензии GPLv2, которая не допускает наложение дополнительных
    >> условий на распространение кода" и впрямь что-то этакое очень напоминает.
    > А лицензию поменять, авторы смогут?

    Торвальдс ленится, у него каша уже тёплая, и уже есть би-эм-дублевэ.

     
     
  • 6.58, Аноним (-), 16:27, 10/07/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Может ему уже по возрасту и по статусу положено лениться ИМХО проект не должен ... большой текст свёрнут, показать
     
  • 4.56, Аноним (-), 16:21, 10/07/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    IDA ?
     
     
  • 5.65, XVilka (ok), 19:34, 10/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    radare2
     
     
  • 6.95, Аноним (-), 11:11, 11/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    У этих парней странное чувство юмора. https://github.com/radare/radare2/blob/master/doc/fortunes.nsfw
     
     
  • 7.104, Andrey Mitrofanov (?), 11:51, 11/07/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Аноним, 11:11 , 11-Июл-17:
    > У этих парней странное чувство юмора.

    Как и у бОльшей половины парней "под" ником 'Аноним'. ...и чито?  Сару Шарп позовёшь? Или мариванну?


     
  • 3.66, Олололо (?), 19:50, 10/07/2017 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Полетят пыжиковые шапки
     

  • 1.80, добрый (?), 02:32, 11/07/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Вижу, аналитика уровня LWN добралась и сюда Неправда У некоторого числа старых... большой текст свёрнут, показать
     
     
  • 2.81, Аноним (-), 08:30, 11/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > разработчики Grsecurity оставляют за собой право на то, чтобы не продлять контракт на поставку последующих патчей. Это право у них есть даже без оговорок, и условиями GPL оно никак не ограничено.

    Each time you redistribute the Program (or any work based on the Program), the recipient automatically receives a license from the original licensor to copy, distribute or modify the Program subject to these terms and conditions. You may not impose any further restrictions on the recipients' exercise of the rights granted herein. You are not responsible for enforcing compliance by third parties to this License.

     
     
  • 3.99, Аноним (-), 11:25, 11/07/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Поэтому в любой момент вы можете прекратить " redistribute the Program" для клиента, который нарушает некоторые озвученные вами условия. И он (этот клиент) потеряет все описанные вами права. Это законно.
     
     
  • 4.109, Аноним (-), 13:10, 11/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Но только если продукт ваш, а в данному случае ограничения пытаются распространить на ядро Linux (grsec производный от ядра продукт).
     
     
  • 5.111, Аноним (-), 13:19, 11/07/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А какая разница производный он или нет?

    Только получив продукт вы получаете права на его исходники. Нет продукта - нет прав.

     
  • 2.82, Аноним (-), 09:09, 11/07/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Официально они заявляют только платный доступ, публично никаких предложений и ус... большой текст свёрнут, показать
     
     
  • 3.90, Андрей (??), 10:20, 11/07/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > > Нет запрещающего условия. Есть уведомительная оговорка, что в случае явных и постоянных
    > > утечек патчей конкретно в руки KSPP или некоторых участников Linux Foundation,
    > > которые как раз-таки в прошлом угрожали проекту дорогостоящими судебными тяжбами, разработчики
    > > Grsecurity оставляют за собой право на то, чтобы не продлять контракт
    > > на поставку последующих патчей.
    > По вашему это не ограничение? Какие могут быть утечки, если код под GPL, это легитимная передача кода.

    Именно напоминание: вы можете, конечно, распространять эти патчи, но помните, мы, разумеется, можем (без объяснения причины) не продлевать договор.

     
     
  • 4.91, Аноним (-), 10:37, 11/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Нет, это больше похоже на угрозу. Повторюсь, если бы у них был отдельный продукт - их право, но они распространяют свои "напоминания" на код ядра. Grsecurity надстройка над ядром, неотделимая от него и неразрывно интегрируемая с ним, и поэтому рассматривается как производная работа (читай форк ядра), поэтому они не могут ставить свои условия без согласования со всеми разработчиками ядра, ровно по той же причине, по которой Линус не может сменить лицензию на ядро с GPLv2 на GPLv3.
     
     
  • 5.92, Андрей (??), 10:51, 11/07/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Да, они могли бы просто удалить это напоминание, но продолжать действовать согласно ему они бы всё равно могли. Таким образом напоминание превратилось бы в слухи.
     
  • 4.94, Андрей (??), 11:11, 11/07/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Именно напоминание: вы можете, конечно, распространять эти патчи, но помните, мы, разумеется, можем (без объяснения причины) не продлевать договор.

    Да и зачем не продлевать? Таким клиентам-спонсорам можно просто предложить увеличить спонсирование самих Grsecurity, т.е. в несколько раз поднять цену абонемента.

     
     
  • 5.102, Аноним (-), 11:49, 11/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Для небольших компаний сложная ценовая политика избыточна. Им обычно выгоднее и проще иметь одну цену и НЕ работать с проблемными поставщиками-клиентами.
     
  • 3.106, добрый (?), 12:39, 11/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Факт остаётся фактом бесплатный доступ к пачтам предоставляется А кроме того, ... большой текст свёрнут, показать
     
     
  • 4.112, Аноним (-), 13:28, 11/07/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В IRC и бесплатный Windows обсуждается, и что Официально не предоставляется, зн... большой текст свёрнут, показать
     
     
  • 5.115, добрый (?), 14:15, 11/07/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    И ничего К делу это не относится Бесплатный Windows опровергяется так же легко... большой текст свёрнут, показать
     
     
  • 6.117, Аноним (-), 17:36, 11/07/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    И те и те по личной договорённости закулисно бесплатно предоставляют продукт, в ... большой текст свёрнут, показать
     
     
  • 7.123, добрый (?), 18:59, 11/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Разница, наверное, всё-таки есть и существенная Но дело в другом если Майкросо... большой текст свёрнут, показать
     
     
  • 8.124, Аноним (-), 19:27, 11/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Короче вы слились полностью, ссылок и фактов я так и не увидел Все утверждения ... текст свёрнут, показать
     
     
  • 9.126, добрый (?), 20:13, 11/07/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Мои утверждения основаны на анализе фактов, который я выполняю лично для себя, и... большой текст свёрнут, показать
     
  • 6.120, Maxim Chirkov (ok), 18:08, 11/07/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Буду благодарен вам за ссылки на упоминание предоставления бесплатного доступа к патчам и другие уточнения на ваше усмотрение (со ссылками). Меня также интересует ссылка на упоминание утечки новых патчей и их использования в KSPP, я помню что где-то встречалось обсуждение в kernel-hardering или oss-sec, но найти не смог.
     
     
  • 7.125, добрый (?), 20:12, 11/07/2017 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Ссылок на веб-ресурсы, на сколько мне известно, не существует, поскольку тема об... большой текст свёрнут, показать
     
     
  • 8.131, Maxim Chirkov (ok), 21:18, 11/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Поменял формулировку на прекратил публичное распространение своих патчей из-... текст свёрнут, показать
     
     
  • 9.134, добрый (?), 21:48, 11/07/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Спасибо Почему-то не все изменения отображаются Ждут прохождение премодерации ... большой текст свёрнут, показать
     
  • 9.143, добрый (?), 00:10, 12/07/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Если кому-то действительно интересно ха-ха разбираться в ситуации https l... большой текст свёрнут, показать
     
     
  • 10.144, добрый (?), 00:13, 12/07/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    скриптом размещения коммента Ключевые части текста не пострадали ... текст свёрнут, показать
     
  • 10.147, Maxim Chirkov (ok), 09:30, 12/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Переделал текст про добавление дополнительного условия и добавил примечание по м... текст свёрнут, показать
     
  • 9.152, добрый (?), 17:53, 12/07/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Я правильно понял, что эти изменения не прошли премодерацию Не знаете, по какой... текст свёрнут, показать
     
     
  • 10.155, Maxim Chirkov (ok), 19:28, 12/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Почему отсутствуют, всё есть Ссылки стоят на словах достаточно разнообразные ... текст свёрнут, показать
     
     
  • 11.157, добрый (?), 20:11, 12/07/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Ага, вот в чём дело было Просматривал через форум Благодарю ... текст свёрнут, показать
     
  • 7.127, добрый (?), 20:27, 11/07/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    К слову, заголовок новости не вполне корректен и желтоват: Grsecurity нарушает лицензию GPL в своих попытках остановить перенос кода в ядро Linux

    Во-первых, нарушение GPL пока что никем и ничем не подтверждено - есть только мнения. Во-вторых, "в своих попытках остановить перенос кода" - насколько корректна такая характеристика для блокирования бесплатного доступа к свежим результатам своей работы?

    > от обиды из-за обхода в финансировании (вместо основного проекта Linux Foundation и Core Infrastructure Initiative выделили грант KSPP)

    Тоже, уместны ли такие формулировки в контексте новостей? Ведь никакими ссылками факт обиды не подтверждается, а звучит как инсинуация.

     
  • 7.128, добрый (?), 20:38, 11/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Кстати, хорошо бы добавить хотя бы ссылку на коментарий Брэда http seclists o... большой текст свёрнут, показать
     
  • 2.85, Аноним (-), 09:17, 11/07/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ещё добавлю, что если бы речь шла о самодостаточном продукте, проблем бы не было, поставляют под двойной лицензией и поставляют. Но суть в том, что Grsecurity набор патчей к ядру, т.е. производный от ядра продукт и налагая  дополнительные условия к нему, по сути ограничивают условия распространения ядра, что недопустимо.
     
     
  • 3.100, Аноним (-), 11:40, 11/07/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Вы используете неверное ошибочное определение термина "производный продукт" и поэтому ошибаетесь.
     
     
  • 4.101, Аноним (-), 11:45, 11/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Вы используете неверное ошибочное определение термина "производный продукт" и поэтому
    > ошибаетесь.

    Скорее наоборот. В новости есть ссылка на экспертизу от Bruce Perens, который солидарен с мнением, что Grsecurity производный продукт:

    "It is a derivative work of the Linux kernel which touches the kernel internals in many different places. It is inseparable from Linux and can not work without it. it would fail a fair-use test (obviously, ask offline if you don’t understand). Because of its strongly derivative nature of the kernel, it must be under the GPL version 2 license, or a license compatible with the GPL and with terms no more restrictive than the GPL."

     
     
  • 5.103, Аноним (-), 11:50, 11/07/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Bruce Perens профессиональный юрист, специализирующийся на лицензионном и авторском праве? Или он ноль в юриспруденции, но мнение имеет?

    Уточнили бы для начала...

     
  • 2.88, Andrey Mitrofanov (?), 10:15, 11/07/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Вижу, аналитика уровня LWN добралась и

    Я бы попросил. Ты свои камменты с уважаемым ресурсом не равняй.

    Такую жёлтую пену LWN публикует недели челез две (ладно, в примере ниже - 8 дней), когда пыль, пена, адреналин уже осядут, и можно говорить _спокойно_.

    Пример:
    [I][B]Grsecurity goes private[/B]
    [Kernel] Posted May 4, 2017 22:46 UTC (Thu) by corbet

    On April 26, the grsecurity project announced that it was [...][/I]  --https://lwn.net/Articles/721848/rss

     
     
  • 3.108, добрый (?), 12:48, 11/07/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> Вижу, аналитика уровня LWN добралась и
    > Я бы попросил. Ты свои камменты с уважаемым ресурсом не равняй.

    Мои комменты, уважаемый собеседник, указывают на факты, которые "уважаемый ресурс" стабильно не удосуживается ни выяснять, ни проверять. Кроме того, LWN при освещении ситуации вокруг Grsecurity лишь транслирует однобокое мнение, практически полностью совпадающиее с мнением одной из сторон конфликтной ситуации. Это не журналистика, это аналитика. По определению. И цена ей - такая же, как вашим вульгарным тыканиям. :)

     
     
  • 4.110, Аноним (-), 13:17, 11/07/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Мои комменты, уважаемый собеседник, указывают на факты

    Никаких фактов у вас нет, одни домысли и сплетни, со ссылками на пустую болтовню в IRC, которую не проверить и не подтвердить. Хотя бы на списки рассылки сослались бы, в которых разработчики grsec уже не так языком молют и все ваши факты почему-то умалчиваются, так как их быстро опровергнут.

     
     
  • 5.113, добрый (?), 13:35, 11/07/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Никаких фактов у вас нет, одни домысли и сплетни, со ссылками на пустую болтовню в IRC, которую не проверить и не подтвердить.

    Факт бесплатного предоставления патчей проверяется посредством обращения к разработчикам Grsecurity и, опционально, к самим пользователям, получающим патчи бесплатно. Так работает журналистика, уважаемый. А не по вашим двойным школьным стандартнам. ;)

    > ваши факты почему-то умалчиваются, так как их быстро опровергнут.

    Какие конкретно факты умалчиваются?

     

     ....большая нить свёрнута, показать (37)

  • 1.87, Андрей (??), 10:12, 11/07/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    > репутационных рисков (из-за некорректного переноса исправлений, введения ограничений для совместимости и переработок для соблюдения требований ядра реализация перенесённых в основное ядро технологий Grsecurity содержит ошибки и проблемы с безопасностью, которых нет в оригинальных патчах, что приводит к созданию половинчатых решений и создаёт лишь видимость повышения безопасности).

    И они правы. По-моему, надо просто запретить использование название "Grsecurity" в продукте с их патчами. Вон Мозилла сколько лет не давала пользоваться именами Огнелис да Громоптица, и ничего Дебиан пережили и даже дожили до примирения. А теперь им надо было бы просто заменить суффикс "-grsecurity", на какой-нибудь "-haibez".

     
  • 1.89, Андрей (??), 10:15, 11/07/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    > В свою очередь, Линус Торвальдс в свойственной ему манере посоветовал не связываться с Grsecurity и раскритиковал их подход к разработке, который оправдывает любые нарушения прежнего поведения целесообразностью повышения безопасности.

    Утрирую: давайте будем и дальше на запрос пароля по Esc заходить под стандартным пользователем!

    Если какое-то поведение удобное, но небезопасное, от него стоит срочно избавляться, а всё остальное потом.

     
  • 1.96, grsec (ok), 11:12, 11/07/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    > стал препятствовать работе проекта KSPP (Kernel Self Protection Project), занимающегося переносом в основное ядро Linux
    > Core Infrastructure Initiative выделили грант KSPP)

    Ну нормально. Апстрим должен работать по фану, а зарабатывать должны другие.

     
     
  • 2.118, Аноним84701 (ok), 17:54, 11/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >> стал препятствовать работе проекта KSPP (Kernel Self Protection Project), занимающегося переносом в основное ядро Linux
    >> Core Infrastructure Initiative выделили грант KSPP)
    > Ну нормально. Апстрим должен работать по фану, а зарабатывать должны другие.

    Так же было и с ТруЪКриптом (вспомнилось из-за соседней новости).
    Для аудита кода сторонними экспертами, за пару месяцев собрали  бóльшую  сумму (70 000$), чем (вроде бы -- припоминаю косвенные упоминания о максимум паре тысяч $ в год) авторы проекта за все время донатами.


     
     
  • 3.148, grsec (ok), 09:38, 12/07/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Медиа-шумиха приносит больше дохода, чем сложная инженерная работа. Таков мир.
     

  • 1.97, Андрей (??), 11:19, 11/07/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > нежелания разбивать продукт на части (Grsecurity рассматривается как взаимосвязанное единое целое)

    После появления так называемого Oracle Linux, Red Hat тоже решили прекратить разбивать свои исправления на удобные патчи, а публиковать свалку.

     
     
  • 2.119, Аноним (-), 17:58, 11/07/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    при этом за денюжку - можно получить доступ к разбиению.. Но в паблике свалка.
     
  • 2.121, . (?), 18:09, 11/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > После появления так называемого Oracle Linux, Red Hat тоже решили прекратить разбивать
    > свои исправления на удобные патчи

    это ладно - понятное решение, самому редхату оно нафиг не надо - они, естественно, работают в собственной системе контроля версий, где ни ветки, ни id ни разу не совпадают с vanilla  (что можно - и так отправляется в апстрим, стандартным путем, поштучно), выковыривать патчи по одному в правильной последовательности - ненужный ручной труд, да еще его результаты норовит спереть оракл, проще вывалить патч-сет одним файлом, и gpl не нарушена, вроде как, и пользы никому от него никакой (как, собственно, и от паблик-патчей grsec'а, пока они были).

    Вы мне другое скажите - а хде енто у нас нынче паблик-репо srpm'ов этого самого редхата?
    А нигде. С момента прикармливания centos, удалены даже те ошметья, что еще были доступны. Да, патчи всасываются в центось - но это как бы ни разу не исходники самого rhel (не говоря уже о том, что это намеренно делается с опозданием, часто на несколько суток).

    И ничего, никакой вони от Линуса. Он же не будет кусать кормящую его руку, правильно? ;-)

     
     
  • 3.136, Led (ok), 21:50, 11/07/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Вы мне другое скажите - а хде енто у нас нынче паблик-репо
    > srpm'ов этого самого редхата?

    Взрослых позови - они ткнут тебе пальцем.

     
     
  • 4.149, . (?), 11:01, 12/07/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Взрослых позови - они ткнут тебе пальцем.

    малыш, надеяться на взрослых - в общем-то дурная привычка. Сам-то ты, походу, не в курсе?

    Вот конкретно из свеженького: httpd-2.2.15-60.el6_9.4.src.rpm
    иде оно? Гугль находит аж три ссылки. Все три не содержат на самом деле искомого архива (это копипасты редхатовского анонса, где вместо ссылок - предложение почитать статью как правильно платить денег)

    Только вот не надо мне возмущенных постингов через три дня - этот апдейт вышел вчера. Для редхата, разумеется, вышел. Для centos будет послезавтра или позже (они и critical-то держат по паре суток).

    И прежде чем постить ссылку из закладок десятилетней давности - тоже не забудьте по ней перейти - вас ждет приятный сюрпризец.

     
     
  • 5.150, Аноним (-), 11:14, 12/07/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Вот конкретно из свеженького: httpd-2.2.15-60.el6_9.4.src.rpm

    Напугали, всё как и раньше на своих местах:

    http://ftp.redhat.com/redhat/linux/enterprise/6Server/en/os/SRPMS/

    httpd-2.2.15-60.el6_9.4.src.rpm 07-Jul-2017 07:07 6.5M


    Для RHEL 7 офиуиально предлагается грузить с https://git.centos.org/project/rpms
    Для httpd там (https://git.centos.org/summary/?r=rpms/httpd24-httpd.git) сейчас  httpd24-httpd-2.4.25-9.el7

     
     
  • 6.151, . (?), 16:00, 12/07/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Напугали, всё как и раньше на своих местах

    да, протормозил - это ж шестерочный апдейт, а там пока все еще по-старому (поскольку 6.0 была еще задолго до добровольного слияния в экстазе). В центосных репо, что характерно, хрен ночевал.

    А речь именно про вот это:

    > Для RHEL 7 офиуиально предлагается грузить с https://git.centos.org/project/rpms

    - и где там, спрашивается, оригиналы src.rpm от rhel ? ;-)  Такой вот вам gpl, ага (формального-то нарушения нет)

     
     
  • 7.160, Аноним (-), 22:19, 12/07/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> Для RHEL 7 офиуиально предлагается грузить с https://git.centos.org/project/rpms
    > - и где там, спрашивается, оригиналы src.rpm от rhel ? ;-)  
    > Такой вот вам gpl, ага (формального-то нарушения нет)

    ну что ты прям с козырей..  предлагается верить на слово шапке что пакеты в ее репозитории и centos одинаковы.

     

  • 1.153, Аноним (-), 18:15, 12/07/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    В каких дистрибутивах (известных и не очень) есть изкоробочные версии с Grsecurity, кроме общеивестного Hardened Gentoo? (который уже похоже ВСЁ)

    Debian, Арч?

     
     
  • 2.161, . (?), 23:02, 12/07/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > В каких дистрибутивах (известных и не очень) есть изкоробочные версии с Grsecurity,
    > кроме общеивестного Hardened Gentoo?

    ни в каких, за полной бессмысленностью - именно потому и понадобился _отдельный_ haredened gentoo, что grsec это не только патч к ведру, это еще и патченный компилятор и прочее по мелочи, которыми под это ведро пересобрано _все_.

    в общем, забейте - для дома-для-семьи оно в целом и не нужно, лучше просто держать ведро и userland посвежее, для промышленного использования...э... у вас до сих пор нет своей бидлфермы? Тогда вам рано.

    Я вот очень слабо представляю, что меня могло бы сподвигнуть на (правильное, не в виде полумер) внедрение grsecrurity в масштабах (хотя бы) подразделения. Даже если предположить что кто-то готов мне оплатить поддержку.

     
     
  • 3.162, добрый (?), 00:58, 13/07/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > ни в каких, за полной бессмысленностью - именно потому и понадобился _отдельный_
    > haredened gentoo, что grsec это не только патч к ведру, это
    > еще и патченный компилятор и прочее по мелочи, которыми под это
    > ведро пересобрано _все_.

    Сложностей при использовании Grsecurity в наши дни - минимум. Что на сервере, что на десктопе. И все они давно документированы. Более того, практически все аспекты настраивается либо на этапе сборки ядра, либо в любое время (PaX-флаги для приложений). Если что-то мешает, это можно не включать или отключить.

    Компилятор везде уже давно как не патченный, а стоковый. Ядро собирается им же - что в генте, что в убунте. Пересборка юзерленда - это _опция_ для получения полной рандомизации страниц с кодом самого исполняемого файла (PIE) и защиты GOT/PLT от записи (BIND_NOW), которые работают и на обычных ядрах (есть нюансы, но суть в том, что это уже не экзотика и не специфика Grsecurity). В Hardened Gentoo можно включить дополнительные меры при сборке, вроде SSP и FORTIFY_SOURCE, но к Grsecurity это уже не относится никак.

    И в Арче был пакет с grsec-ядром до недавнего времени, и в Alpine оно есть до сих пор (неофициальный порт), и в Subgraph на базе дебиана были и пока что есть (4.9-unofficial_grsec), на сколько я знаю.

    Короче говоря, у страха глаза велики. :)

     
     
  • 4.163, Аноним (-), 05:07, 13/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Подскажите пожалуйста ресурсы на русском где обсуждается практическое использование Grsecurity дома и на работе, и какой из дистрибутивов с Grsecurity вы бы порекомендовали для начинающего "параноика", исходя из своего опыта.
     
     
  • 5.165, добрый (?), 16:08, 13/07/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Подскажите пожалуйста ресурсы на русском где обсуждается практическое использование Grsecurity
    > дома и на работе

    На русском припоминаю только статьи на хабре лет 6-8 назад. Без базового знания английского будет тяжко, если дело в этом.

    > и какой из дистрибутивов с Grsecurity вы
    > бы порекомендовали для начинающего "параноика", исходя из своего опыта.

    Любой на основе Debian, желательно без systemd. Например, Devuan или Ubuntu с upstart-sysv. Можно попробовать Subgraph OS или Alpine (последний больше подходит для серверов), но сам ими не пользуюсь, поэтому рекомендовать не могу.

    Исходники Grsecurity можно брать на гитхабе (ожидается, что будут доступны примерно в течение пары лет; дальше перспективы неясны):
    https://github.com/minipli/linux-unofficial_grsec - неофициальная версия, сопровождаемая Матиасом Краузе. Человек вполне надёжный, да и из альтернатив на данный момент существует только неофициальный порт в Alpine.

     

  • 1.171, Аноним (-), 09:16, 16/07/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Им же по человечески ответили. Копипастите наши патчи тогда не затирайте наш копирайт и атворов. Или на Linux Kernel не распространяется и они особенные?
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру